信息安全管理体系ISO27001&IT服务管理体系ISO20000

现在很多IT外包企业在需要做这个，据说做好了国家会有补贴。发一下做个小介绍。

什么是信息安全管理体系(ISMS)？

信息安全管理体系是系统的对组织敏感信息进行管理，涉及到人，程序和信息科技(IT)系统。BSI发布了正被国际上使用的信息安全管理体系标准号ISO/IEC 17799 （BS7799－1）。


信息安全不是有一个终端防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。信息安全管理体系的引入，可以协调各个方面信息管理，管理更为有效。

ISO/IEC17799 (BS7799-1:2005)

BS7799 由两部分组成。BS7799-1是信息安全管理的最佳实践指南，BS7799-2是信息安全管理体系的要求，是获取认证的标准。BS7799-1已在2005年5月转为ISO标准－ISO/IEC17799 (BS7799-1:2005)，BS7799-2已在2005年10月转为ISO标准－ISO27001(BS7799-2:2005)，并且继续保持BS7799的编号。

BS7799可以帮助公司识别，管理和减少信息通常所面临的各种威胁。

ISO27001(BS7799-1:2005)的十一个章节概述如下：

·        安全方针－为信息安全提供管理指导和支持。

·        安全组织－在公司内管理信息安全。

·        资产分类与管理－对公司的信息资产采取适当的保护措施。

·        人员安全－减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。

·        实体和环境安全－防止对商业场所及信息未经授权的访问、损坏及干扰。

·        通讯与运作管理－确保信息处理设施正确和安全运行。

·        访问控制－管理对信息的访问。

·        系统的获得、开发和维护－确保将安全纳入信息系统的整个生命周期。

·        安全事件管理－确保安全事件发生后有正确的处理流程和报告方式

·        商业活动连续性管理－防止商业活动的中断，并保护关键的业务过程免受重大故障或灾难的影响。

·        符合法律－避免违反任何刑法和民法、法律法规或合同义务以及任何安全要求。

使用ISO27001:2005(BS7799-2:2005)作为信息安全管理标准，由BSI认证。可以向您的股东证实您符合信息安全要求。


什么是IT服务管理体系ITSMS？


IT服务管理体系(ITSMS)提供了一个管理IT服务的系统化的方法，无论这个IT服务的客户是内部的还是外部的，它包含了人员、过程和IT系统。

BSI出版的BS 15000标准包括IT服务管理的规范和实施要点两个部分，作为一个被业内广泛接受的标准，与英国商务部(OGC)制订的ITIL定义的过程方法相一致。BS 15000正被国际上广泛采用，它提供了IT服务管理的审核规范，和一个集成的方法来提供有效的IT服务以满足客户和业务需求。


什么是ISO/IEC 20000？  


ISO/IEC 20000是一个关于IT服务管理体系的要求的标准，它帮助识别和管理IT服务的关键过程，保证提供有效的IT服务满足客户和业务的需求。

这个标准基于ITIL的最佳实践基础，ISO/IEC 20000提出了服务文化，提供了满足业务需求的服务的方法论和管理方式的优先权。它还：

·        定义了一系列相互关联的服务管理过程

·        识别了过程之间的关系，和这些过程关系在组织内的应用

·        提供了方针目标和服务管理的控制措施

·        ISO/IEC 20000规定了5个关键的服务管理过程

·        服务提供过程－包括服务级别管理、可用性管理和能力规划管理

·        关系过程－包括服务提供者与客户和供应商之间的接口

·        解决过程－关注需要解决和预防发生的事件和事故

·        控制过程－包括变更管理，资产管理和配置管理

·        发布过程－包括新的或更新的软件和硬件的发布

一个组织利用ISO/IEC 20000作为它的IT服务管理体系的基础，并通过BSI认证，可以表明它的IT服务管理体系满足了该标准的要求。

谢谢分享

超赞的资料，学习中